Kun je een ziekenhuis hacken? Nu er flink wordt ingezet op technologie in de zorg is dat risico serieus aan de orde, waarschuwen de experts van Women in Cybersecurity.
Verpleegkundige Jelena Milosevic belde de IT-afdeling van een ziekenhuis waar ze werkte. Of ze haar wachtwoord even konden geven, want dat was ze vergeten. “Ik kreeg het zonder aarzelen van ze. Zonder dat ze controleerden of ik wel was wie ik beweerde te zijn.”
Milosevic is een verpleegkundige die, noem het een hobby, veel van technologie af weet. Met stijgende verontwaardiging kijkt ze naar de laconieke omgang met technologie in de ziekenhuizen waar ze werkt – onder andere via Tempo Team. Het brengt volgens haar patiënten in gevaar.
Milosevic kaartte haar zorgen aan bij haar werkgevers en andere ziekenhuizen, maar dat werd nooit echt serieus genomen, zegt ze. Dus stapte ze naar Women in Cybersecurity (WICS), een Nederlands netwerk van vrouwen die werkzaam zijn in de computerbeveiliging. Voor bestuursleden Mary-Jo de Leeuw en Anouk Vos was de informatie van Milosevic reden genoeg de techniek in ziekenhuizen verder te onderzoeken, daarbij geholpen door ethisch hacker Rianne Goijarts. Hun conclusie: het is droevig gesteld met de computerbeveiliging in ziekenhuizen. Een standpunt waar ze niet alleen in staan, zo zal blijken.
Gmailen met de huisarts
Volgens Milosevic, Goijarts en WICS begint het al bij het eerste contact tussen patiënt en huisarts. Er zijn huisartsen die daarvoor een open dienst als Gmail gebruiken. Een simpele zoektocht via Google bevestigt dat: tientallen praktijken zijn via Gmail te bereiken. In sommige gevallen staat daar de waarschuwing bij het account alleen maar te gebruiken voor administratieve vragen, maar er zijn ook praktijken die naar het adres verwijzen voor verzoeken om herhaalrecepten.
De Landelijke Huisartsen Vereniging noemt het Gmail-gebruik op zich geen probleem als het om praktische zaken gaat, zoals openingstijden en dienstverlening. Gaat het om medische gegevens, dan gebruiken de meeste artsen volgens een woordvoerder van de branchevereniging speciale, beveiligde patiëntenportalen. Maar, kiezen ze toch voor Gmail, dan is er geen wet die ze dat verbiedt. Er is alleen een richtlijn die stelt dat de mails niet in de cloud mogen worden opgeslagen.
Milosevic, Goijarts en WICS vinden dat een huisarts nooit een open dienst als Gmail zou moeten gebruiken. Het is niet veilig voor de gevoelige informatie die arts en patiënt uitwisselen. Of (huis)arts en arts – want volgens Milosevic worden de adressen ook voor communicatie tussen hen gebruikt. De mails verstuurd via Gmail zijn niet allemaal standaard versleuteld en worden opgeslagen op een server van Google, zonder dat de huisarts daar echt goed zicht op heeft. Bovendien scant Google de inhoud van de berichten om daar gerichte advertenties bij te verkopen.
Om dezelfde redenen zorgde ook het gebruik van WhatsApp (dat van Facebook is) door artsen eerder dit jaar voor discussie. Via de chatapp werden bijvoorbeeld foto’s van wonden of advies over patiënten uitgewisseld. Privacywaakhond Autoriteit Persoonsgegevens riep artsen op daarmee te stoppen, vanwege de gevoeligheid van de informatie. Inmiddels zijn er nieuwe chatdiensten ontwikkeld die veiliger beloven te zijn, zoals Siilo en Kanta.
Het wachtwoord op een Post-it
Jelena Milosevic toont een foto op haar telefoon. Daarop is een computerscherm te zien waarop een geel papiertje is geplakt met een gebruikersnaam en wachtwoord. Achtergelaten door een collega in het ziekenhuis. “Hiermee zou ik kunnen inloggen op het ziekenhuisnetwerk waar ik patiëntgegevens, uitslagen van onderzoeken enzovoorts kan inzien en veranderen”, zegt ze.
Je kunt dat gele briefje afdoen als een eenmalige fout, maar het is volgens Milosevic kenmerkend voor de houding van sommige van haar collega’s. Ze zijn bezig met patiënten. Gaat het om de veiligheid van gegevens, dan worden nog weleens de schouders opgehaald.
Dat beeld wordt bevestigd door gepensioneerd huisarts Wim Jongejan, die sinds hij in 1990 als een van de eerste huisartsen digitaliseerde, de ontwikkelingen in zijn vakgebied nauwgezet volgt. En hij is kritisch. Volgens hem hebben artsen heus wel oog voor de digitale veiligheid van patiëntgegevens of medische apparatuur, maar gaat het dagelijkse werkproces voor. “Ze willen gewoon doorwerken, ze zijn bezig met hun patiënten. Allerlei veiligheidsmaatregelen zoals ingewikkelde wachtwoorden kunnen dat proces onderbreken. Dus worden er manieren bedacht om daar omheen te werken.”
Bij sommige ziekenhuizen mag je je medische dossier meenemen op een usb-stick die men zonder blikken of blozen in een Windows desktop steekt
Maar ook zonder inloggegevens kan een kwaadwillende hacker het ziekenhuissysteem binnenkomen. Via phishing bijvoorbeeld, oftewel nepmails die in werkelijkheid een virus bij zich dragen. Milosevic maakt zich ook zorgen over de usb-ingangen die aanwezig zijn in de ziekenhuizen. Het is een beproefde methode van hackers om via een usb-stick een virus te verspreiden. Ethisch hacker Victor Gevers, die zich al langer bezighoudt met medische apparatuur, herkent het beeld: “Bij sommige ziekenhuizen mag je je medisch dossier meenemen op een usb-stick die men zonder blikken of blozen achter in een Windows desktop steekt.”
Via de geïnstalleerde malware kan een crimineel vervolgens haarfijn uitzoeken waar de zwakke plekken in het ziekenhuisnetwerk zitten, zegt Rianne Goijarts. Bijvoorbeeld omdat het ziekenhuis verouderde systemen gebruikt, die geen updates meer krijgen, waardoor gaten in de beveiliging gewoon te misbruiken blijken.
Toen Microsoft in 2014 stopte met de ondersteuning van Windows XP, waren er veel Nederlandse ziekenhuizen die nog volop op XP draaiden – ook de medische apparatuur. Er werden uiteindelijk speciale afspraken met Microsoft gemaakt voor extra ondersteuning. De komende jaren dreigt hetzelfde te gebeuren met Windows 7, waarvoor de ondersteuning momenteel wordt afgebouwd en in 2020 definitief stopt. In ziekenhuizen zijn nog volop Windows 7-computers te vinden, aldus Milosevic.
Het ging eerder ook weleens fout door verouderde systemen. In 2012 kwamen gegevens van een half miljoen Nederlanders via het Groene Hart Ziekenhuis in handen van een hacker, waaronder enkele tientallen medische dossiers. Er ging een hoop mis in Gouda. Zo waren de computersystemen in het ziekenhuis zo verouderd dat ze niet meer te onderhouden waren, en was antivirussoftware soms niet in gebruik, concludeerde privacywaakhond AP na onderzoek.
Sinds de bekende hack in het Groene Hart Ziekenhuis zijn er meer datalekken geweest. Sinds 1 januari van dit jaar moeten organisaties bij de AP een melding maken als privacygevoelige informatie in de handen van derden is gevallen. Dat deden ziekenhuizen tot nu toe 304 keer – oftewel bijna elke dag een lek. Meer details over de aard van de meldingen wil de woordvoerder van de privacywaakhond niet geven. Alleen dat het om datalekken kan gaan met grote of kleine impact, veroorzaakt door zowel onbeveiligde netwerken als menselijke fouten. Zo verloor een arts van het Amsterdamse Antoni van Leeuwenhoek Ziekenhuis een harddisk met 800 onversleutelde patiëntgegevens.
Hack de insulinepomp
Het was het Amerikaanse bedrijf Johnson & Johnson zelf dat vorige maand via een brief waarschuwde dat hun digitaal bedienbare insulinepomp voor suikerpatiënten te misleiden is. De communicatie tussen pomp en afstandsbediening was niet versleuteld, waardoor een onderzoeker er toegang toe kreeg. Een verkeerde hoeveelheid insuline kan gevaarlijk zijn voor patiënten.
De insulinepomp is niet het enige medische apparaat waar kwetsbaarheden in gevonden zijn. Zeker nu steeds meer apparaten draadloos aan een netwerk zijn verbonden, zodat artsen van een afstand uitslagen kunnen uitlezen, zijn hackers de beveiliging aan het testen, zegt Goijarts. Ook de ethische hackers die het goed bedoelen. Zo kreeg het Amerikaanse onderzoeksteam met de naam Independent Security Evaluators begin dit jaar toegang tot onder meer een monitor met daarop de vitale functies van de patiënt. Ze konden de getoonde gegevens manipuleren en alarmbellen af doen gaan.
Bij de meeste voorbeelden tot nu toe geldt wel dat het zeker niet eenvoudig bleek om de apparatuur te kraken. Zo moest een hacker in de buurt van de insulinepomp zijn om die te kunnen manipuleren. Maar wat volgens WICS de kern van het probleem is, is de vraag: waarom moet zo’n pomp, of monitor, überhaupt aan een netwerk verbonden zijn? Want hoe goed je ook je best doet om alles te beschermen, dat aansluiten brengt een risico met zich mee.
Als het goed is, zijn de apparaten niet bereikbaar via het gewone internet, maar zijn ze alleen aangesloten op het speciale ziekenhuisnetwerk. Maar dat betekent niet dat de apparaten niet te kraken zijn. Ze kunnen net als gewone computers te maken krijgen met verouderde software. Bijvoorbeeld omdat de leverancier inmiddels een nieuw model heeft uitgebracht, of de apparaten de update vanwege veroudering niet aankunnen. Het Nationaal Cyber Security Centrum in Den Haag waarschuwde eerder al eens voor de risico’s van verouderde medische apparatuur.
En ook hier speelt de wachtwoordkwestie. Victor Gevers: “Het probleem is dat men vaak kiest voor één wachtwoord voor het hele netwerk waar alle apparaten aan gekoppeld zijn. Als je dat ene wachtwoord weet te kraken dan heb je toegang tot al die medische apparatuur. En een wachtwoord achterhalen is eigenlijk niet meer dan een kwestie van geduld, je hebt softwareprogramma’s die dat automatisch voor je doen.” Men kiest vaak voor één wachtwoord voor het hele netwerk. Als je dat weet te kraken heb je toegang tot al die medische apparatuur.
Kun je de beveiliging wel aan de ziekenhuizen overlaten?
Wie is er eigenlijk verantwoordelijk voor de computerbeveiliging van ziekenhuizen? Minister Edith Schippers van volksgezondheid is daar duidelijk over: de ziekenhuizen zelf. De Inspectie van de Gezondsheidszorg (IGZ) bevestigt dat. Ziekenhuizen hebben zich te houden aan de zogenoemde ‘NEN 7510 – informatiebeveiliging in de zorg’. Daarin staat bijvoorbeeld dat een zorginstelling een risicoanalyse moet hebben gemaakt om te kijken of het ziekenhuisnetwerk en de medische apparatuur voldoende beschermd zijn tegen hackers.
Volgens de Nederlandse Vereniging van Ziekenhuizen (NVZ) is het bewustzijn rond technische beveiliging wel degelijk gegroeid. Dat merken ze in de gesprekken met ziekenhuizen, bijvoorbeeld over de wet die het melden van datalekken verplicht.
Vorige maand organiseerde de NVZ nog een voorlichtingscampagne voor zorgpersoneel. Maar Women in Cybersecurity ergert zich eraan dat het niet verder gaat dan ‘verzin een sterk wachtwoord’ en ‘pas op met het klikken op e-mails van een onbekende afzender’. Als het ziekenhuis volstaat met verouderde apparatuur en software, dan heb je daar als zorgmedewerker weinig aan, aldus WICS.
Erik Buskens, hoogleraar evaluatie van medische technologie aan het Universitair Medisch Centrum Groningen, vindt dat de verantwoordelijkheid te makkelijk wordt afgeschoven op de ziekenhuizen zelf. Hij spreekt over een gebrek aan regie bij de grote ontwikkelingen die er nu op technologisch gebied bezig zijn. “Ieder ziekenhuis vindt op dit moment het wiel opnieuw uit, zonder dat er een goede coördinatie is over bijvoorbeeld de standaarden bij het uitwisselen van patiëntgegevens. Dat is op ziekenhuisniveau al een uitdaging, de droom is dat informatie tussen allerlei zorginstellingen efficiënt uitgewisseld kan gaan worden. Zonder goede regie kan dat misschien wel uitlopen op een beveiligingsnachtmerrie.”
Het is voor de IT-afdelingen van ziekenhuizen een flinke kluif om de beveiliging goed te organiseren. Buskens: “Zo’n probleem met een wachtwoord op een briefje dat ergens wordt achtergelaten, zou redelijk eenvoudig te omzeilen zijn als de computers bijvoorbeeld met een vingerscan ontgrendeld zouden worden. Die technieken zijn er, maar er is bij de IT-afdeling geen tijd en budget voor om het in te voeren. De afdelingen zijn in ziekenhuizen vaak een ondergeschoven kindje. Patiëntenzorg, huisvesting, medische apparatuur: dat gaat allemaal voor.”
Dit artikel is gepubliceerd door trouw.nl: http://www.trouw.nl/tr/nl/5009/Archief/archief/article/detail/4421287/2016/11/24/Als-het-ziekenhuis-lekt-en-kraakt.dhtml